http://www.zago.eti.br/martian.txt FAQ sobre registros no logs ou mensagen relacionados à Martian Source Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux veja também neste diretório (site) FAQ log.txt ************************************************************** ************************************************************** ************************************************************** De: Fernando Fonseca Para: vitor@jamyrvasconcellos.com.br, 'Marcus Lima' , 'Linux-BR' Assunto: (linux-br) RES: (linux-br) RES: (linux-br) Martian Source | Alguem ja viu? Data: 24 Jan 2003 17:00:19 -0200 Para saber mais sobre pacotes marcianos, dê uma lida neste site http://www.altoriopreto.com.br/case1_tech2.html Abraços! ************************************************************** De: Eduardo Rocha Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Martian Source | Alguem ja viu? Data: 25 Jan 2003 12:29:08 -0200 Se alguém tiver alguma dúvida sobre o que disse nesse e-mail, vide o código fonte do kernel. Essa mensagens é impressa pela função ip_route_input_slow no arquivo src/linux/net/ipv4/route.c, um dos motivos para executar esse trecho acontece quando a função fib_validate_source retorna < 0, quem tiver a curiosidade de ler o comentário dessa função verá: "check, that packet arrived from expected physical interface" ou seja ele faz uma verificação se o IP e o MAC são consistentes com a tabela que a máquina montou através do protocolo ARP. Eduardo Rocha Eduardo Rocha wrote: Velhinho, martian source são pacotes que vem de lugares que vc não está esperando. Isso já aconteceu comigo quando havia duas máquinas com mesmo ip na mesma rede. Verifique se existe uma máquina com MAC 00:d0:09:a6:08:00 e se ela está ok. Eduardo Rocha ************************************************************** De: Eduardo Rocha Para: marcuslima@marcuslima.eti.br, linux-br@bazar.conectiva.com.br Assunto: (linux-br) Re: RES: (linux-br) Martian Source | Alguem ja viu? Data: 25 Jan 2003 12:00:06 -0200 Oi Marcus, Experimente colocar em uma mesma rede física duas máquinas com o mesmo ip, não precisa ser de rede diferente e veja as mensagens do kernel. Martian source é tb uma forma de vc verificar que existe duas máquinas com o mesmo ip (o que não é muito legal). O Linux não mostra um pop-up como o Windows quando isso acontece, mas mostra o martian source nas mensagens do kernel. Martian source indica, como disse pacotes, que vem de lugares para os quais não se espera. Eduardo Rocha Oi Eduardo, Pacotes Marcianos são pacotes que vêem com endereço IP de uma rede diferente da que está configurada na Interface que está recebendo os pacotes... só isso. ************************************************************** De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Eduardo Rocha , linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) Martian Source | Alguem ja viu? Data: 25 Jan 2003 00:26:41 -0200 > Velhinho, martian source são pacotes que vem de lugares que vc não está > esperando. Isso já aconteceu comigo quando havia duas máquinas com mesmo > ip na mesma rede. Verifique se existe uma máquina com MAC > 00:d0:09:a6:08:00 e se ela está ok. Oi Eduardo, Pacotes Marcianos são pacotes que vêem com endereço IP de uma rede diferente da que está configurada na Interface que está recebendo os pacotes... só isso. - Marcus Lima. --- ************************************************************** De: Eduardo Rocha Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Martian Source | Alguem ja viu? Data: 24 Jan 2003 16:57:17 -0200 Velhinho, martian source são pacotes que vem de lugares que vc não está esperando. Isso já aconteceu comigo quando havia duas máquinas com mesmo ip na mesma rede. Verifique se existe uma máquina com MAC 00:d0:09:a6:08:00 e se ela está ok. Eduardo Rocha Vitor Alexandre S Marinho wrote: Meu servidor está dando esta mensagem: Net: 13 Messages Suppressed Martian Source 192.168.10.13 from 192.168.35.23, on Dev eth0 Ll Header: ff:ff:ff:ff:ff:ff:00:d0:09:a6:08:00 E esta mensagem fica dando constantemente. ************************************************************** De: Bino Para: vitor@jamyrvasconcellos.com.br Cc: Lista Conectiva Linux , Lista de Discussão Linux Goias , squid-br@yahoogrupos.com.br Assunto: Re: (linux-br) Martian Source | Alguem ja viu? Data: 24 Jan 2003 14:26:39 -0200 Pergaminhos escritos por Tutmosis, contam que Em Sex, 2003-01-24 às 11:06, Vitor Alexandre S Marinho escreveu: > Meu servidor está dando esta mensagem: > > Net: 13 Messages Suppressed > Martian Source 192.168.10.13 from 192.168.35.23, on Dev eth0 > Ll Header: ff:ff:ff:ff:ff:ff:00:d0:09:a6:08:00 > > E esta mensagem fica dando constantemente. > > Alguem já viu isso? Yeap ... a cura: Acesse o arquivo /etc/sysctl e alterar a seguinte flag: de: # If active, logs 'impossible' source addresses net.ipv4.conf.all.log_martians = 1 para: # If active, logs 'impossible' source addresses net.ipv4.conf.all.log_martians = 0 Té + -- Sergio Eduardo Felisbino Jr ----> BINO Analista Linux Counter: 236079 Contato Global Solutions ************************************************************** De: Marcus Lima Responder-a: Marcus Lima Para: vitor@jamyrvasconcellos.com.br, Linux-BR Assunto: Re: (linux-br) Martian Source | Alguem ja viu? Data: 24 Jan 2003 13:22:59 -0200 Sim, significa que têm pacotes marcianos na sua rede... Para desabilitar esta mensagem echo 0 > /proc/sys/net/ipv4/conf/all/log_martians ou para efetivar definitivamente a alteração edite o /etc/sysctl.conf e altera a linha net.ipv4.conf.all.log_martians = 0 - Marcus Lima ----- Original Message ----- From: "Vitor Alexandre S Marinho" To: "Lista Conectiva Linux" ; "Lista de Discussão Linux Goias" ; Sent: Friday, January 24, 2003 11:06 AM Subject: (linux-br) Martian Source | Alguem ja viu? Meu servidor está dando esta mensagem: Net: 13 Messages Suppressed Martian Source 192.168.10.13 from 192.168.35.23, on Dev eth0 Ll Header: ff:ff:ff:ff:ff:ff:00:d0:09:a6:08:00 E esta mensagem fica dando constantemente. Alguem já viu isso? ************************************************************** De:  Sérgio Valério Para:  Roberto Almeida do Nascimento Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)Martian Source Data:  Wed, 26 Nov 2003 21:53:57 -0200 Boa noite Roberto, Não, não é defeito : http://www.freesoft.org/CIE/RFC/1812/123.htm http://www.faqs.org/rfcs/rfc1812.html pode ser também alguém querendo invadir sua rede .... verifique melhor. []´s Sérgio Roberto Almeida do Nascimento wrote: No /var/log/messages de meu servidor aparece varias x repetidas a linha > abaixo! O que eu faço para isso nao acontecer????? É defeito???? > ************************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Cc:  hamacker Assunto:  Re: (linux-br) martian source 169.254.255.255 pode significar tentativa de invasao ? Data:  Tue, 3 Feb 2004 20:46:54 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 hamacker wrote: >Oi gente, de vez enquando aparece mensagens no meu firewall do tipo : > >Feb  3 10:57:31 saturno kernel: martian source 169.254.255.255 from >169.254.236.133, on dev eth1 >Feb  3 10:57:31 saturno kernel: ll header: >ff:ff:ff:ff:ff:ff:00:0a:e6:ee:f4:de:08:00 > >Eu sei "martian souce" é o meu firewall inibindo endereços > teóricamente impossiveis (por isso o termo "rota marciana"), mas isso > aparecer no meu log poderá ser considerado uma tentativa de cracker > ou apenas uma má configuração duma maquina cliente na rede ? Provavelmente, com esse IP, é apenas uma máquina mal configurada. O endereço 169.254.255.255 é o broadcast para a rede 169.254.0.0/16, que é a rede de IPs automáticos para quando nenhum servidor DHCP foi encontrado e nenhum IP manualmente foi configurado. >EU digo isso porque o MAC-ADDR é quase sempre o mesmo, e já confirmei >que não é da minha rede. Veja que esse pacote está entrando pela eth1. Se a eth1 é sua interface externa, então é uma máquina mal-configurada no seu provedor. Se eth1 é sua interface para a sua rede interna, não adianta espernear que tem que ser uma máquina da sua rede. PS: o MAC da origem é 00:0a:e6:ee:f4:de. O 08:00 no fim não faz parte do MAC. - --   Thiago Macieira  -  Registered Linux user #65028    thiagom (AT) mail (dot) com     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint:     E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) ************************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)pptpd conecta com erros Data:  Sun, 5 Sep 2004 19:17:32 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 rodrigofariatavares wrote: >Lista, > >Configurei o pptd ele autentica e levanta um ip na rede. >Porem nao funciona o acesso as maquinas da rede. Não tem nada a ver com as mensagens de erro que você mandou. >Sep  5 17:36:39 faria kernel: martian source >192.168.0.255 from 192.168.0.251, on dev eth0 >Sep  5 17:36:39 faria kernel: ll header: >ff:ff:ff:ff:ff:ff:00:a0:24:5c:a6:7a:08:00 > >as mgs de martian source se repetem varias vezes, sera >que tem de fazer alguma rota para para essas msgs ? Pacotes marcianos são aqueles que chegaram por uma interface, mas cuja resposta deve sair por outra. Geralmente são indicativos de redes mal-configuradas ou então de tentativas de ataque. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint:     E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358 ************************************************************** De: Wendell Almeida Silva Para: Jorge Godoy Cc: lista-linux Assunto: Re: (linux-br)Regra de firewall libera outra porta que não deveria liberar Data: Fri, 1 Oct 2004 09:44:25 -0300 On Thursday 30 September 2004 18:51, Jorge Godoy wrote: > > E quanto às outras questões? Você checou / fez o que questionei? Quais > os resultados? Eu escolhi a opção firewall para a instalação. Estou usando o seguinte script para o firewall. Eu não identifiquei nenhuma abertura da porta 80. SUBNET=192.168.0.0/24 #rede interna IF_SUBNET=eth0 #interface conectada a subrede (intranet) IF_INTERNET=eth1 #interface de acesso a internet OPEN_PORTS_OUT=25,110,53 #portas liberadas para acesso direto para a rede interna OPEN_PORTS_IN=22 #portas de entrada liberadas para acesso externo iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X ##### Definição de Policiamento ##### # Tabela filter iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT ACCEPT iptables -t filter -P FORWARD DROP # Tabela nat iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING DROP # Tabela mangle iptables -t mangle -P PREROUTING ACCEPT iptables -t mangle -P OUTPUT ACCEPT echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all echo 1 > /proc/sys/net/ipv4/tcp_syncookies echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses for i in /proc/sys/net/ipv4/conf/* do echo 0 > $i/accept_redirects echo 0 > $i/accept_source_route echo 1 > $i/log_martians echo 1 > $i/rp_filter; done ##### Ativamos o redirecionamento de pacotes (requerido para NAT) ##### echo "1" >/proc/sys/net/ipv4/ip_forward ##### Chain POSTROUTING ##### # Permite qualquer conexão vinda com destino a lo e rede local para IF_SUBNET iptables -t nat -A POSTROUTING -o lo -j ACCEPT iptables -t nat -A POSTROUTING -s $SUBNET -o $IF_SUBNET -j ACCEPT # Masquerading somente dos serviços liberados para acesso a rede externa #iptables -t nat -A POSTROUTING -s $SUBNET -o $IF_INTERNET -j MASQUERADE #O MASQUERADE está sendo feito para cada porta de saída a ser liberada porque o FORWARD não está bloqueando o tcp porta 80 iptables -t nat -A POSTROUTING -s $SUBNET -o $IF_INTERNET -p tcp -m multiport --dport $OPEN_PORTS_OUT -j MASQUERADE iptables -t nat -A POSTROUTING -s $SUBNET -o $IF_INTERNET -p udp -m multiport --dport $OPEN_PORTS_OUT -j MASQUERADE iptables -t nat -A POSTROUTING -s $SUBNET -o $IF_INTERNET -p icmp --icmp-type echo-request -j MASQUERADE # Qualquer outra origem de tráfego desconhecida indo para SUBNET (conexões vindas da INTERNET) são bloqueadas iptables -t nat -A POSTROUTING -o $IF_SUBNET -d $SUBNET -j LOG --log-prefix "FIREWALL:SNAT unknown " iptables -t nat -A POSTROUTING -o $IF_SUBNET -d $SUBNET -j DROP # O tráfego indo para a interface INTERNET não será bloqueado. Os bloqueios de entrada serão feitos no chain INPUT da tabela filter iptables -t nat -A POSTROUTING -o $IF_INTERNET -j ACCEPT # Registra e bloqueia qualquer outro tipo de tráfego desconhecido iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL:SNAT " iptables -t nat -A POSTROUTING -j DROP ##### Chain INPUT ##### # Chain que será usado para tratar o tráfego vindo da Internet iptables -N int_input # Aceita todo o tráfego vindo do loopback e indo pro loopback iptables -A INPUT -i lo -j ACCEPT # Todo tráfego vindo da rede interna é aceito iptables -A INPUT -s $SUBNET -i $IF_SUBNET -j ACCEPT # Conexões vindas da INTERNET são tratadas pelo chain intput iptables -A INPUT -i $IF_INTERNET -j int_input # Qualquer outra conexão desconhecida é imediatamente registrada e derrubada iptables -A INPUT -j LOG --log-prefix "FIREWALL:INPUT " iptables -A INPUT -j DROP ##### Chain FORWARD ##### # Chain que será usado para tratar o acesso a internet da rede local iptables -N internet # Contra ataques Syn-flood iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT # Contra Ping of Death iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Port scanners ocultos iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Proteção contra pacotes danificados ou suspeitos. #iptables -A FORWARD -m unclean -j DROP # Redirecionamento de conexões entre as interfaces locais especificadas abaixo. Qualquer tráfego vindo/indo para outras interfaces será bloqueado neste passo iptables -A FORWARD -d $SUBNET -i $IF_INTERNET -o $IF_SUBNET -j ACCEPT iptables -A FORWARD -s $SUBNET -i $IF_SUBNET -o $IF_INTERNET -j internet iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD " iptables -A FORWARD -j DROP ##### Chain int_input #### #Bloqueia o ping iptables -A int_input -p icmp --icmp-type echo-request -j DROP # Aceita todas as mensagens icmp vindas da INTERNET com certa limitação. O tráfego de pacotes icmp que superar este limite será bloqueado pela regra "...! ESTABLISHED,RELATED -j DROP" no final do chain intput iptables -A int_input -p icmp -m limit --limit 2/s -j ACCEPT # Conexao remota permitida vindo da internet iptables -A int_input -p tcp -m multiport --dport $OPEN_PORTS_IN -j ACCEPT # Bloqueia qualquer tentativa de nova conexão de fora para esta máquina iptables -A int_input -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL:INTERNET-in " iptables -A int_input -m state --state ! ESTABLISHED,RELATED -j DROP # Qualquer outro tipo de tráfego é aceito iptables -A int_input -j ACCEPT ##### Chain internet ##### # Liberação de serviços permitidos # AQUI A PORTA 80 PASSA iptables -A internet -p tcp -m multiport --dport $OPEN_PORTS_OUT -j ACCEPT iptables -A internet -p udp -m multiport --dport $OPEN_PORTS_OUT -j ACCEPT # Nenhuma outra conexão direta é permitida iptables -A internet -j REJECT --reject-with icmp-admin-prohibited ************************************************************** **************************************************************